Mydoom wird vorwiegend über E-Mail übertragen und gibt sich gegenüber dem Empfänger als "Übertragungsfehler bei der Mailzustellung" aus. Im Betreff der E-Mails tauchen Meldungen auf wie "Error", "Mail Delivery System", "Test", "Delivery Status Notification" oder "Mail Transaction Failed". In den deutschen Varianten kommen auch Betreffzeilen wie "Benachrichtigung zum Übermittlungsstatus (Fehlgeschlagen)" und ähnliche Meldungen vor.

An die E-Mail angehängt ist eine Datei mit dem Wurm. Wird der Anhang ausgeführt, installiert sich der Wurm im Windows-Betriebssystem. Dabei durchsucht der Wurm lokale Dateien sowie das Windows-Addressbuch des befallenen Rechners nach E-Mailadressen und versendet sich an diese. Weiterhin legt der Wurm eine Kopie seiner selbst im Ordner "Gemeinsame Dateien" des Peer-to-Peer Datentauschprogramms Kazaa ab.

Beim Versand der verseuchten Mails schließt der Wurm jedoch Zieladdressen von diversen Universitäten, wie die Rutgers Universität, das MIT, Stanford und UC Berkeley sowie verschiedene Firmen wie Microsoft und Symantec aus. Behauptungen aus früheren Berichten, der Wurm würde generell alle .edu-Addressen ausschließen, haben sich als falsch herausgestellt.

Die Original-Version des Wurms (Mydoom.A) infiziert Rechner auf zwei Arten:

• Durch Einrichtung einer sog. "Backdoor" (engl. für "Hintertür"), die es erlaubt, den befallenen PC aus der Ferne zu bedienen (geschieht durch Ablage der Mydoom-eigenen SHIMGAPI.DLL-Datei im system32-Verzeichnis und anschließendem Aufruf als Unterprozess des Windows Explorers);
• durch Vorbereitung einer sog. "denial of service"-Attacke gegen die Webseite der SCO Group, welche mit dem 1. Februar 2004 beginnt. Von einigen Virus-Analysten wurden jedoch Zweifel an der korrekten Funktionsweise der hierzu vorhandenen Funktionen erhoben.

Erste Analysen liessen vermuten, dass Mydoom eine Variante des Mimail-Wurms sei. Es wurde vermutet, dass die gleichen Personen für die beiden Würmer verantwortlich sind. Die Schlussfolgerungen nachfolgender Analysen entkräfteten diese Vermutungen jedoch wieder.

Der Wurm beinhaltet die Nachricht "andy; I'm just doing my job, nothing personal, sorry,", was zu Spekulationen darüber führte, ob der Programmierer für die Erstellung des Wurms bezahlt wurde. Andere Spekulationen (insbesondere der SCO Group) gingen in die Richtung, dass der Wurm aus der Linux-/Open Source-Szene stamme, um gegen die von SCO (bisher unbewiesenen) Vorwürfe und damit in Zusammenhang stehenden Klagen vorzugehen, der Einsatz von Linux würde gegen Patente von SCO verstoßen. Wieder andere Spekulationen gehen davon aus, dass der Virus von so genannten Spam-Versendern in die Welt gesetzt wurde, um so eine große Anzahl von infizierten Rechner zum Versand von Spam nutzen zu können.

zeitlicher Ablauf

• 26. Januar 2004: Der Mydoom-Wurm wird das erste Mal gegen 13:00 Uhr UTC gesichtet. Die ersten verseuchten Mails treffen aus Russland ein. Die schnelle Verbreitung des Wurms sorgt für ein paar Stunden zu einer durchschnittlich 10-prozentigen Verlangsamung des Internetverkehrs und einer durchschnittlich erhöhten Ladezeit der Webseiten von 50 Prozent. Sicherheitsexperten berichten zu dieser Zeit, dass durchschnittlich jede zehnte eingehende E-Mail virenverseucht ist.

• 27. Januar 2004: Die SCO Group bietet 250.000 US-Dollar Belohnung für Informationen, die zur Ergreifung des Wurm-Programmierers führen. In den Vereinigten Staaten werden vom FBI und Secret Service Ermittlungen aufgenommen.

• 28. Januar 2004: Eine zweite Version des Wurms wird entdeckt. Die erste E-Mail mit der neuen Variante (Mydoom.B) trifft gegen 14:00 Uhr UTC wiederum aus Russland ein. Die neue Version soll ab dem 3. Februar 2004 auch Microsoft attackieren. Mydoom.B blockiert auch den Zugriff auf die Webseiten von über 60 Antiviren-Herstellern sowie auf so genannte "Popup"-Werbefenster von Online-Marketingfirmen wie DoubleClick.

• 29. Januar 2004: Aufgrund von Fehlern im Programmcode des Mydoom.B-Wurms nimmt die Ausbreitungsgeschwindigkeit entgegen anderslautender Voraussagen ab. Microsoft setzt ebenfalls 250.000 US-Dollar Belohnung für Informationen zur Ergreifung des Programmierers aus.

• 30. Januar 2004: Eine französische Variante des Wurms kursiert im Internet. Die Ursprungsmail wird nach Kanada zurückverfolgt.

• 1. Februar 2004: Die erste verteilte denial of service-Attacke gegen die SCO Group beginnt. Die Server www.sco.com und www.sco.de sind bereits ab dem 31. Januar 2004, 17:00 Uhr UTC nicht mehr erreichbar. Allerdings ist der Webserver der SCO Group noch über http://216.250.128.21 erreichbar. Die offiziellen Hostnamen wurden im DNS gelöscht.

• 3. Februar 2004: Die zweite denial of service-Attacke gegen Microsoft beginnt. Aufgrund des Programmfehlers der B-Variante von Mydoom und der damit verbundenen geringeren Verbreitung halten sich die Angriffe jedoch im Rahmen und Microsoft kann seine Webseite weiter betreiben.

• 6. Februar 2004: Ein neuer Computerwurm mit dem Namen Deadhat wird zum ersten Mal vereinzelt gesichtet. Der neue Wurm nutzt die von Mydoom eingerichtete Backdoor (engl. für "Hintertür") aus und befällt über diesen Weg Windows-Computer, die mit dem Mydoom-Wurm infiziert sind. Dabei deinstalliert er die vorhandenen Mydoom-Würmer, deaktiviert Firewall- und AntiViren-Software und versucht sich auf andere Windows-PC's weiter zu verbreiten. Mit Hilfe einer neu eingerichteten Backdoor können Angreifer beliebige Programme auf die von Deadhat befallenen Windows-Rechner hochladen und dort ausführen.

• 7. Februar 2004: Die deutsche Seite von SCO, www.sco.de, ist wieder erreichbar. Die Hauptseite www.sco.com ist nach wie vor Offline.

• 12. Februar 2004: Mydoom.A soll seine weitere Verbreitung programmgesteuert einstellen. Die von Mydoom.A eingerichtete Backdoor (engl. für "Hintertür") bleibt jedoch weiterhin offen.

• 1. März 2004: Mydoom.B soll seine weitere Verbreitung programmgesteuert einstellen. Aber auch hier soll die Backdoor weiterhin offen bleiben.

• Beschreibung des BSI zum Mydoom-Wurm
• Meldung "Tückischer Wurm bricht über MyDoom-Hintertür ein" von heise.de